La pro­tec­tion des don­nées per­son­nelles des indi­vidus est un droit fon­da­men­tal en ver­tu de la lég­is­la­tion de l’UE et est actuelle­ment régie par le Règle­ment général sur la pro­tec­tion des don­nées (règle­ment (UE) ²⁰¹⁶⁄₆₇₉) (le « RGPD »). Le RGPD pré­cise que le traite­ment des don­nées per­son­nelles par un sous-trai­tant pour le compte d’un respon­s­able du traite­ment est soumis à un accord écrit régle­men­tant, entre autres, les cir­con­stances et les con­di­tions dans lesquelles ce traite­ment peut avoir lieu.

Ce sup­plé­ment sur le traite­ment des don­nées (le « Sup­plé­ment » ou « DPA ») fait par­tie des Con­di­tions d’u­til­i­sa­tion de Work­sec­tion disponibles sur worksection.com/en/agreement.html (les « Con­di­tions d’u­til­i­sa­tion », mis­es à jour de temps à autre), ou d’un autre accord régis­sant l’u­til­i­sa­tion des ser­vices de Work­sec­tion (« Accord ») con­clu entre vous, le Client (tel que défi­ni dans l’Ac­cord — col­lec­tive­ment, « vous », « votre », « Client »), et Work­sec­tion LLC (« Work­sec­tion », « nous », « notre ») pour refléter l’ac­cord des par­ties con­cer­nant le traite­ment des don­nées per­son­nelles par Work­sec­tion exclu­sive­ment pour le compte du Client. Les deux par­ties seront désignées comme les « Par­ties » et cha­cune, une « Partie ».

Les Par­ties ont con­venu que Work­sec­tion fourni­ra au Client un out­il de ges­tion de pro­jet basé sur le cloud (ci-après dénom­mé les « Ser­vices »), dans le cadre duquel Work­sec­tion trait­era cer­taines don­nées per­son­nelles pour le compte du Client en tant que sous-trai­tant. En tant que tel, les Par­ties recon­nais­sent la néces­sité d’en­tr­er dans ce Sup­plé­ment dis­tinct pour réguler le traite­ment des don­nées per­son­nelles par Work­sec­tion pour le compte du Client. En util­isant les Ser­vices, le Client accepte ce DPA et quiconque entre dans les Con­di­tions d’u­til­i­sa­tion pour le compte d’une entre­prise ou d’une autre entité juridique, déclare avoir le pou­voir de lier cette entité et ses affil­iés à ces ter­mes et con­di­tions, auquel cas les ter­mes « vous » et « votre » util­isés ici se réfèreront à cette entité. Si vous né pou­vez pas, ou n’êtes pas d’ac­cord pour, vous con­former et être lié par ce DPA, ou n’avez pas le pou­voir de lier le Client ou toute autre entité, veuillez né pas nous fournir de don­nées personnelles.

En cas de con­flit entre cer­taines dis­po­si­tions de ce DPA et les dis­po­si­tions de l’Ac­cord, les dis­po­si­tions de ce DPA pré­vau­dront sur les dis­po­si­tions con­flictuelles de l’Ac­cord unique­ment en ce qui con­cerne le traite­ment des don­nées personnelles.

Les ter­mes en majus­cules non défi­nis ici auront les sig­ni­fi­ca­tions qui leur sont attribuées dans l’Accord.

(a) « Affil­ié » désigne toute entité qui con­trôle, est con­trôlée par, ou est sous un con­trôle com­mun avec l’en­tité con­cernée. « Con­trôle », aux fins de cette déf­i­ni­tion, sig­ni­fie la pro­priété directe ou indi­recte ou le con­trôle de plus de 50 % des intérêts de vote de l’en­tité concernée.

(b) « Affil­ié autorisé » désigne tout(e) Affilié(e) du Client qui est explicite­ment autorisé(e) à utilis­er les Ser­vices en ver­tu de l’Ac­cord entre le Client et Work­sec­tion mais n’a pas signé son pro­pre accord avec Work­sec­tion et n’est pas un « Client » tel que défi­ni dans l’Accord.

© « CCPA » désigne la Cal­i­fornie Con­sumer Pri­va­cy Act de 2018. Sec­tion 1798.100.

(d) Les ter­mes « Respon­s­able de traite­ment“, “État mem­bre“, “Sous-trai­tant“, “Traite­ment” et “Autorité de con­trôle” auront la même sig­ni­fi­ca­tion que dans le RGPD. Les ter­mes « Entre­prise », « Objec­tif com­mer­cial », « Con­som­ma­teur » et « Four­nisseur de ser­vices » auront la même sig­ni­fi­ca­tion que dans le CCPA.

Pour clar­i­fi­er, dans ce DPA, « Respon­s­able de traite­ment » désigne égale­ment « Entre­prise », et « Sous-trai­tant » désigne égale­ment « Four­nisseur de ser­vices », dans la mesure où le CCPA s’ap­pliqué. De la même manière, le Sous-trai­tant de traite­ment désigne égale­ment le con­cept de Four­nisseur de services.

(e) « Lég­is­la­tions sur la pro­tec­tion des don­nées » désigne toutes les lois et régle­men­ta­tions sur la con­fi­den­tial­ité et la pro­tec­tion des don­nées applic­a­bles et con­traig­nantes, y com­pris ces lois et régle­men­ta­tions de l’U­nion européenne, de l’E­space économique européen et de leurs États mem­bres, de la Suisse, du Roy­aume-Uni, du Cana­da et des États-Unis d’Amérique, applic­a­bles au traite­ment des don­nées per­son­nelles en ver­tu de l’Ac­cord, y com­pris (sans lim­i­ta­tion) le RGPD, le RGPD bri­tan­nique et le CCPA, applic­a­bles au traite­ment des don­nées per­son­nelles aux présentes et en vigueur au moment de la per­for­mance par le Sous-traitant.

(f) « Per­son­ne con­cernée » désigne la per­son­ne iden­ti­fiée ou iden­ti­fi­able à laque­lle les don­nées per­son­nelles se rapportent.

(g) « RGPD » désigne le Règle­ment (UE) ²⁰¹⁶⁄₆₇₉ du Par­lement européen et du Con­seil du 27 avril 2016 relatif à la pro­tec­tion des per­son­nes physiques à l’é­gard du traite­ment des don­nées per­son­nelles et à la libre cir­cu­la­tion de ces don­nées, et abro­geant la direc­tive 95/46/CE (Règle­ment général sur la pro­tec­tion des données).

(h) « Don­nées per­son­nelles » ou « Infor­ma­tions per­son­nelles » désigne toute infor­ma­tion qui iden­ti­fie, se rap­porte, décrit, peut être asso­ciée à, ou pour­rait raisonnable­ment être liée, directe­ment ou indi­recte­ment, à une per­son­ne physique ou à un Con­som­ma­teur iden­ti­fié ou iden­ti­fi­able, qui est traitée par Work­sec­tion exclu­sive­ment pour le compte du Client, en ver­tu de ce DPA et de l’Ac­cord entre le Client et Worksection.

(i) « Ser­vices » désigne la plate­forme de sys­tème d’ex­ploita­tion de tra­vail basée sur le cloud (« Plate­forme ») et tout autre ser­vice fourni au Client par Work­sec­tion dans le cadre de l’Accord.

(j) « Doc­u­men­ta­tion de sécu­rité » désigne la doc­u­men­ta­tion de sécu­rité spé­ci­fique­ment applic­a­ble au traite­ment des don­nées per­son­nelles par Work­sec­tion en ver­tu de l’Ac­cord et de ce DPA, tel que mis à jour de temps à autre, et acces­si­ble via worksection.com/en/agreement.html, ou tel que d’autre manière mis raisonnable­ment à dis­po­si­tion par Worksection.

(k) « Don­nées sen­si­bles » désigne les don­nées per­son­nelles qui sont pro­tégées par une lég­is­la­tion spé­ciale et néces­si­tent un traite­ment unique, telles que « caté­gories spé­ciales de don­nées », « don­nées sen­si­bles » ou d’autres ter­mes matérielle­ment sim­i­laires en ver­tu des lois sur la pro­tec­tion des don­nées applic­a­bles, qui peu­vent inclure l’une des élé­ments suiv­ants : (a) numéro de sécu­rité sociale, numéro de dossier fis­cal, numéro de passe­port, numéro de per­mis de con­duire, ou iden­ti­fi­ant sim­i­laire (ou toute par­tie de celui-ci); (b) numéro de carte de crédit ou de débit; © infor­ma­tions finan­cières, de crédit, géné­tiques, bio­métriques ou de san­té; (d) infor­ma­tions révélant l’o­rig­ine raciale ou eth­nique, les opin­ions poli­tiques, les croy­ances religieuses ou philosophiques, ou l’ap­par­te­nance à un syn­di­cat, don­nées géné­tiques ou don­nées bio­métriques aux fins d’i­den­ti­fi­er de manière unique une per­son­ne physique, don­nées con­cer­nant la san­té ou la vie sex­uelle d’une per­son­ne ou ori­en­ta­tion sex­uelle, ou don­nées rel­a­tives à des con­damna­tions pénales et infrac­tions; et/ou (e) mots de passé de compte sous forme non hachée.

(l) « Sous-trai­tant » désigne tout tiers qui traite des don­nées per­son­nelles sous les instruc­tions ou la super­vi­sion de Worksection.

(m) « RGPD bri­tan­nique » désigne la Loi sur la pro­tec­tion des don­nées de 2018, ain­si que le RGPD tel qu’il fait par­tie de la lég­is­la­tion de l’An­gleterre et du Pays de Galles, de l’É­cosse et de l’Ir­lande du Nord en ver­tu de la sec­tion 3 de la Loi sur le retrait de l’U­nion européenne de 2018 et tel que mod­i­fiée par la Loi sur la pro­tec­tion des don­nées, la con­fi­den­tial­ité et les com­mu­ni­ca­tions élec­tron­iques (mod­i­fi­ca­tions etc.) (Règle­ment de sor­tie de l’UE) de 2019 (SI ²⁰¹⁹⁄₄₁₉).

2.1. Champ d’ap­pli­ca­tion et rôles. Ce Sup­plé­ment s’ap­pliqué lorsque les don­nées client sont traitées par Work­sec­tion pour le compte du Client dans le cadre de l’exé­cu­tion des Services.

2.2. Con­for­mité aux lois. Chaque par­tie se con­formera à toutes les lois, règles et régle­men­ta­tions qui lui sont applic­a­bles et qui lui sont con­traig­nantes dans l’exé­cu­tion de ce Sup­plé­ment, y com­pris toutes les exi­gences légales rel­a­tives à la pro­tec­tion des données.

2.3. La nature et l’ob­jec­tif du traite­ment des don­nées. Tant que le Client utilise les Ser­vices, et en con­séquence de l’u­til­i­sa­tion par le Client des Ser­vices, Work­sec­tion trait­era les don­nées client pour le compte du Client. Les don­nées client com­pren­nent mais né se lim­i­tent pas aux noms, adress­es et infor­ma­tions de con­tact des util­isa­teurs invités par le Client, ain­si qu’à tout autre type de don­nées per­son­nelles que le Client télécharg­era sur les Ser­vices dans dif­férents pro­jets, col­lec­tions et tableaux. Les don­nées client peu­vent con­cern­er les employés, directeurs, agents, clients et sous-trai­tants du Client, mais égale­ment des tiers qui font en quelque sorte par­tie ou sont liés à un pro­jet géré par le Client lors de l’u­til­i­sa­tion des Ser­vices. Les don­nées client peu­vent égale­ment inclure des don­nées tech­niques, des don­nées d’u­til­i­sa­tion, des sta­tis­tiques de qual­ité et des infor­ma­tions sim­i­laires (y com­pris mais sans s’y lim­iter des métriques liées aux appareils et basées sur la local­i­sa­tion) rel­a­tives à l’ac­cès et à l’u­til­i­sa­tion par le Client des Services.

2.4. Instruc­tions pour le traite­ment des don­nées. Work­sec­tion trait­era les don­nées client con­for­mé­ment aux instruc­tions doc­u­men­tées du Client, y com­pris con­cer­nant les trans­ferts de don­nées per­son­nelles vers un pays tiers ou une organ­i­sa­tion inter­na­tionale, sauf si la loi applic­a­ble exige de procéder autrement. Les coûts sup­plé­men­taires qui découlent de ces restric­tions seront à la charge du Client. Les par­ties con­vi­en­nent que ce Sup­plé­ment con­stitue les instruc­tions com­plètes et finales du Client à Work­sec­tion en ce qui con­cerne le traite­ment des don­nées client. Le traite­ment en dehors du champ d’ap­pli­ca­tion de ce Sup­plé­ment (le cas échéant) néces­sit­era un accord écrit préal­able entre Work­sec­tion et le Client sur des instruc­tions sup­plé­men­taires pour le traite­ment, y com­pris l’ac­cord sur tout frais sup­plé­men­taire que le Client devra pay­er à Work­sec­tion pour exé­cuter ces instruc­tions. Le Client peut résili­er ce Sup­plé­ment si Work­sec­tion refuse de suiv­re les instruc­tions demandées par le Client qui se situent en dehors du champ d’ap­pli­ca­tion de ce Supplément.

2.5. Accès ou util­i­sa­tion. Work­sec­tion n’ac­cédera pas aux don­nées client ni né les utilis­era, sauf si cela est néces­saire pour main­tenir, amélior­er et fournir les Ser­vices demandés par le Client.

2.6. Détails du traite­ment. La durée du traite­ment, la nature et l’ob­jec­tif du traite­ment, les types de don­nées client et les caté­gories de per­son­nes con­cernées traitées dans ce DPA sont spé­ci­fiés plus en détail dans l’An­nexe 1 (Détails du traite­ment) de ce DPA.

2.7. Assis­tance. Compte tenu de la nature du traite­ment, Work­sec­tion assis­tera le Client par des mesures tech­niques et organ­i­sa­tion­nelles appro­priées, dans la mesure du pos­si­ble, pour l’exé­cu­tion de l’oblig­a­tion du Client de répon­dre aux deman­des d’ex­er­ci­ce des droits de la per­son­ne concernée.

2.8. Divul­ga­tion. Work­sec­tion né divulguera pas les don­nées client à aucun gou­verne­ment, sauf si cela est néces­saire pour se con­former à la loi ou à un ordre valide et con­traig­nant d’une agence d’ap­pli­ca­tion de la loi (tel qu’un sub­poe­na ou une ordon­nance du tri­bunal). Si une agence d’ap­pli­ca­tion de la loi envoie à Work­sec­tion une demande de don­nées client, Work­sec­tion ten­tera de rediriger l’a­gence d’ap­pli­ca­tion de la loi pour deman­der ces don­nées directe­ment au Client. Dans le cadre de cet effort, Work­sec­tion peut fournir les infor­ma­tions de con­tact de base du Client à l’a­gence d’ap­pli­ca­tion de la loi. Si con­traint de divulguer des don­nées client à une agence d’ap­pli­ca­tion de la loi, Work­sec­tion informera le Client raisonnable­ment de la demande pour per­me­t­tre au Client de deman­der une ordon­nance de pro­tec­tion ou tout autre recours appro­prié, à moins que Work­sec­tion né soit légale­ment inter­dit de le faire.

2.9. Per­son­nel de Work­sec­tion. Work­sec­tion lim­ite son per­son­nel à traiter les don­nées client sans autori­sa­tion de Work­sec­tion. Work­sec­tion imposera des oblig­a­tions con­tractuelles appro­priées à son per­son­nel, y com­pris des oblig­a­tions per­ti­nentes con­cer­nant la con­fi­den­tial­ité, la pro­tec­tion des don­nées et la sécu­rité des données.

2.10. Con­trôles du Client. Work­sec­tion met à dis­po­si­tion un cer­tain nom­bre de fonc­tion­nal­ités et de fonc­tion­nal­ités de sécu­rité que le Client peut choisir d’u­tilis­er. Le Client est respon­s­able de (a) con­fig­ur­er cor­recte­ment les Ser­vices, (b) utilis­er les con­trôles disponibles en lien avec les Ser­vices (y com­pris les con­trôles de sécu­rité), et © pren­dre les mesures que le Client con­sid­ère adéquates pour main­tenir la sécu­rité, la pro­tec­tion, la sup­pres­sion et la sauve­g­arde appro­priées des don­nées client, ce qui peut inclure l’u­til­i­sa­tion de tech­nolo­gies de chiffre­ment pour pro­téger les don­nées client con­tre tout accès non autorisé et de l’archivage réguli­er des don­nées client.

3.1. Trans­ferts du SEE et de la Suisse vers des pays offrant un niveau adéquat ou de pro­tec­tion des don­nées. Les don­nées per­son­nelles peu­vent être trans­férées des États mem­bres de l’UE, de la Norvège, du Liecht­en­stein et de l’Is­lande (col­lec­tive­ment « EEE »), et de la Suisse, vers des pays offrant un niveau adéquat de pro­tec­tion des don­nées en ver­tu ou à la suite des déci­sions d’adéqua­tion pub­liées par les autorités de pro­tec­tion des don­nées per­ti­nentes de l’EEE, de l’U­nion européenne, des États mem­bres ou de la Com­mis­sion européenne, ou de la Suisse, comme per­ti­nent (« Déci­sions d’adéqua­tion »), le cas échéant, sans qu’au­cune autre garantie né soit nécessaire.

3.2. Trans­ferts vers d’autres pays. Si le traite­ment des don­nées per­son­nelles par Work­sec­tion inclut des trans­ferts (directe­ment ou par trans­fert ultérieur) de l’EEE ou de la Suisse vers d’autres pays qui n’ont pas été soumis à une déci­sion d’adéqua­tion per­ti­nente, et si ces trans­ferts né sont pas effec­tués par un autre mécan­isme de con­for­mité recon­nu tel que cela peut être adop­té par Work­sec­tion pour le trans­fert légal de don­nées per­son­nelles (tel que défi­ni dans le RGPD) en dehors de l’EEE ou de la Suisse, selon le cas, alors les « Claus­es con­tractuelles types 2021 » (telles qu’ap­prou­vées par la Com­mis­sion européenne dans la déci­sion d’exé­cu­tion (UE) ²⁰²¹⁄₉₁₄) et les annex­es et appen­dices con­nex­es s’appliqueront.

Work­sec­tion met­tra en œuvre des mesures tech­niques et organ­i­sa­tion­nelles pour pro­téger les don­nées client con­tre la destruc­tion acci­den­telle ou illé­gale ou la perte acci­den­telle, l’altéra­tion, le traite­ment non autorisé, la divul­ga­tion et l’ac­cès, qui sont exigées par la lég­is­la­tion applic­a­ble. Work­sec­tion main­tien­dra un pro­gramme de sécu­rité de l’in­for­ma­tion (y com­pris l’adop­tion et l’ap­pli­ca­tion de poli­tiques et procé­dures internes) conçu pour (a) aider le Client à sécuris­er les don­nées client con­tre toute perte, accès ou divul­ga­tion acci­den­telle ou illé­gale, (b) iden­ti­fi­er les risques internes et prévis­i­bles pour la sécu­rité et l’ac­cès non autorisé à Work­sec­tion, et © min­imiser les risques de sécu­rité, y com­pris par une éval­u­a­tion des risques et des tests réguliers. Work­sec­tion désign­era un ou plusieurs employés pour coor­don­ner et être respon­s­able du pro­gramme de sécu­rité de l’in­for­ma­tion. Le pro­gramme de sécu­rité de l’in­for­ma­tion com­pren­dra des mesures rel­a­tives à la sécu­rité du réseau et à la sécu­rité physique, et sera exam­iné péri­odique­ment par Work­sec­tion pour déter­min­er si des mesures de sécu­rité sup­plé­men­taires ou dif­férentes sont req­ui­s­es pour répon­dre à de nou­veaux risques de sécu­rité ou à des résul­tats générés par les exa­m­ens péri­odiques. Si le Client souhaite que Work­sec­tion prenne d’autres mesures, Work­sec­tion le fera dans une mesure raisonnable, mais tous coûts sup­plé­men­taires seront à la charge du Client. Le Client con­firme qu’il con­sid­ère les mesures énon­cées à l’An­nexe 2 comme étant des garanties tech­niques et organ­i­sa­tion­nelles appro­priées en rela­tion avec le traite­ment des don­nées personnelles.

Le Client est seul respon­s­able d’ex­am­in­er les infor­ma­tions mis­es à dis­po­si­tion par Work­sec­tion con­cer­nant la sécu­rité des don­nées et de déter­min­er de manière indépen­dante si les Ser­vices répon­dent aux exi­gences du Client, et d’as­sur­er que le per­son­nel et les con­sul­tants du Client suiv­ent les direc­tives qui leur sont fournies con­cer­nant la sécu­rité des données.

À la demande du Client et pen­dant les heures de bureau, Work­sec­tion met­tra ses instal­la­tions de traite­ment des don­nées à la dis­po­si­tion d’un audit des activ­ités de traite­ment cou­vertes par le Sup­plé­ment qui sera effec­tué par le Client à ses frais.

7.1. Si Work­sec­tion prend con­nais­sance soit (a) d’un accès illé­gal à des don­nées client stock­ées sur l’équipement de Work­sec­tion ou dans les instal­la­tions de Work­sec­tion; soit (b) d’un accès non autorisé à un tel équipement ou à de telles instal­la­tions, lorsque, dans les deux cas, un tel accès entraîne une perte, une divul­ga­tion ou une altéra­tion des don­nées client (cha­cun étant un « Inci­dent de sécu­rité »), Work­sec­tion s’en­gage à : (a) informer le Client de l’In­ci­dent de sécu­rité; et (b) pren­dre des mesures raisonnables pour atténuer les effets et min­imiser tout dom­mage résul­tant de l’In­ci­dent de sécurité.

7.2. Le Client con­vient que :

(i) un Inci­dent de sécu­rité infructueux né sera pas soumis à cette sec­tion. Un Inci­dent de sécu­rité infructueux est celui qui né résulte en aucun accès non autorisé aux don­nées client ou à aucun des équipements ou instal­la­tions de Work­sec­tion stock­ant des don­nées client, et peut inclure, sans lim­i­ta­tion, des pings et d’autres attaques de dif­fu­sion sur des pare-feu ou des serveurs de bord, des scans de ports, des ten­ta­tives de con­nex­ion infructueuses, des attaques par déni de ser­vice, l’analyse de paque­ts (ou un autre accès non autorisé aux don­nées de traf­ic qui né résul­tent pas en un accès au-delà des adress­es IP ou des en-têtes) ou des inci­dents sim­i­laires; et

(ii) l’oblig­a­tion de Work­sec­tion de sig­naler ou de répon­dre à un Inci­dent de sécu­rité en ver­tu de cette sec­tion n’est pas et né sera pas inter­prétée comme une recon­nais­sance par Work­sec­tion de toute faute ou respon­s­abil­ité de Work­sec­tion à l’é­gard de l’In­ci­dent de sécurité.

7.3. Les noti­fi­ca­tions d’In­ci­dents de sécu­rité, le cas échéant, seront livrées à un ou plusieurs des admin­is­tra­teurs du Client par tout moyen que Work­sec­tion sélec­tionne, y com­pris par email. Il appar­tient au Client d’as­sur­er que les admin­is­tra­teurs du Client main­ti­en­nent des infor­ma­tions de con­tact exactes sur Work­sec­tion à tout moment.

8.1. Sous-trai­tants autorisés. Le Client con­vient que Work­sec­tion peut utilis­er des sous-trai­tants pour rem­plir ses oblig­a­tions con­tractuelles en ver­tu de ce Sup­plé­ment ou pour fournir cer­tains ser­vices en son nom, tels que la four­ni­ture de ser­vices d’as­sis­tance. Work­sec­tion main­tient une liste de sous-trai­tants sur son site inter­net worksection.com/en/agreement.html. Work­sec­tion doit informer le Client de tout change­ment prévu con­cer­nant l’a­jout ou le rem­place­ment de sous-trai­tants, aux­quels le Client peut s’op­pos­er. Le Client est infor­mé lorsque Work­sec­tion met à jour la liste des sous-trai­tants sur son site inter­net. Si le Client n’a pas for­mulé d’op­po­si­tion dans les trente (30) jours suiv­ant la date de récep­tion de la notification/date de mise à jour sur le site inter­net, il est pré­sumé n’avoir for­mulé aucune oppo­si­tion. En cas d’op­po­si­tion de la part du Client, Work­sec­tion a le droit de remédi­er à l’op­po­si­tion du Client à la seule dis­cré­tion de Work­sec­tion. Si (i) aucune option cor­rec­tive n’est raisonnable­ment disponible; ou (ii) les par­ties n’ont pas pu trou­ver de solu­tion mutuelle­ment accept­able, et (iii) l’op­po­si­tion n’a pas été cor­rigée dans les trente (30) jours suiv­ant la récep­tion de l’op­po­si­tion par Work­sec­tion, chaque Par­tie peut résili­er les Con­di­tions d’u­til­i­sa­tion avec effet immédiat.

8.2. Oblig­a­tions des sous-trai­tants. Lorsque Work­sec­tion autorise un sous-trai­tant comme décrit dans cette section :

(i) Work­sec­tion restrein­dra l’ac­cès du sous-trai­tant aux don­nées client unique­ment à ce qui est néces­saire pour main­tenir les Ser­vices ou fournir les Ser­vices au Client con­for­mé­ment aux Con­di­tions d’u­til­i­sa­tion et Work­sec­tion inter­di­ra au sous-trai­tant d’ac­céder aux don­nées client à d’autres fins.

(ii) Work­sec­tion imposera des oblig­a­tions con­tractuelles appro­priées par écrit au sous-trai­tant qui né sont pas moins pro­tec­tri­ces que ce Sup­plé­ment, y com­pris des oblig­a­tions con­tractuelles per­ti­nentes con­cer­nant la con­fi­den­tial­ité, la pro­tec­tion des don­nées, la sécu­rité des don­nées et les droits d’au­dit; et

(iii) Work­sec­tion restera respon­s­able de sa con­for­mité aux oblig­a­tions de ce Sup­plé­ment et de tout acte ou omis­sion du sous-trai­tant qui entraîne un man­que­ment de Work­sec­tion à l’une des oblig­a­tions de Work­sec­tion en ver­tu de ce Supplément.

Si les don­nées client devi­en­nent l’ob­jet d’une con­fis­ca­tion dans le cadre de procé­dures de fail­lite ou d’in­solv­abil­ité, ou de mesures sim­i­laires par des tiers pen­dant qu’elles sont traitées par Work­sec­tion, Work­sec­tion informera le Client sans délai indu. Work­sec­tion informera, sans délai indu, toutes les par­ties con­cernées dans telle action (par exem­ple, les créanciers, le fidu­ci­aire de la fail­lite) que toute don­née client soumise à ces procé­dures appar­tient au Client et relève de la respon­s­abil­ité du Client et que ces don­nées client sont à la seule dis­po­si­tion du Client.

Suite à la résil­i­a­tion de l’Ac­cord et à l’ar­rêt des Ser­vices, au choix du Client (indiqué via la Plate­forme ou dans une noti­fi­ca­tion écrite au Sous-trai­tant), le Sous-trai­tant doit sup­primer ou retourn­er au Client toutes les don­nées per­son­nelles qu’il traite unique­ment pour le compte du Client de la manière décrite dans l’Ac­cord, et le Sous-trai­tant doit sup­primer les copies exis­tantes de ces don­nées per­son­nelles, sauf si les lois sur la pro­tec­tion des don­nées exi­gent le con­traire. Dans la mesure où la loi applic­a­ble l’au­torise ou l’ex­ige, le Sous-trai­tant peut égale­ment con­serv­er une copie des don­nées per­son­nelles unique­ment à des fins de preuve et/ou pour établir, exercer ou défendre des récla­ma­tions légales et/ou pour se con­former à des oblig­a­tions légales.

Le Client peut soumet­tre des don­nées per­son­nelles au Ser­vice qui peu­vent inclure, mais né sont pas lim­itées à, des don­nées per­son­nelles rel­a­tives aux caté­gories suiv­antes de per­son­nes concernées :

● Util­isa­teurs invités du Client

● Employés du Client

● Con­sul­tants du Client

● Agents du Client

● Con­seillers du Client

● Parte­naires com­mer­ci­aux et four­nisseurs du Client (qui sont des per­son­nes physiques)

Tout autre indi­vidu tiers avec qui le Client décide de com­mu­ni­quer via le Service.

Toutes les don­nées per­son­nelles com­pris­es dans les don­nées client, c’est-à-dire les don­nées per­son­nelles téléchargées par le Client sur les Ser­vices sous les comptes Work­sec­tion du Client ou autrement traitées par Work­sec­tion pour le compte du Client, en lien avec l’u­til­i­sa­tion par le Client des Services.

Le Client recon­naît et com­prend que les Ser­vices sont util­isés pour la col­lab­o­ra­tion et la plan­i­fi­ca­tion, et qu’ils né sont pas conçus pour le traite­ment des caté­gories spé­ciales de don­nées personnelles.

Sous réserve de toute sec­tion du DPA et/ou de l’Ac­cord trai­tant de la durée du traite­ment et des con­séquences de l’ex­pi­ra­tion ou de la résil­i­a­tion de celui-ci, Work­sec­tion trait­era les don­nées per­son­nelles con­for­mé­ment au DPA et à l’Ac­cord durant la durée de l’Ac­cord, sauf accord con­traire écrit. Le Client sup­primera lui-même les don­nées per­son­nelles téléchargées sur les Ser­vices, con­for­mé­ment à sa pro­pre poli­tique de conservation.

Le traite­ment se déroule de manière con­tin­ue, alors que le Client prof­ite des Services.

Les don­nées per­son­nelles peu­vent être soumis­es aux activ­ités de traite­ment suivantes :

● stock­age et autres traite­ments néces­saires pour fournir, main­tenir et amélior­er les Ser­vices four­nis au Respon­s­able de données;

● fournir un sup­port client et tech­nique au Respon­s­able de données;

● divul­ga­tions con­for­mé­ment à l’Ac­cord, comme con­traint par la loi.

Des sous-trai­tants sont engagés par Work­sec­tion pour l’analyse web, la ges­tion ERP, l’analyse des don­nées client, le sup­port client, les serveurs et l’héberge­ment, et les fonc­tion­nal­ités email.

Work­sec­tion main­tient les don­nées client chiffrées au repos avec une force de chiffre­ment équiv­a­lente à 256 bits symétriques ou mieux. Les don­nées sont chiffrées en tran­sit à l’aide de TLS 1.2 ou ver­sion ultérieure.

L’in­fra­struc­ture des ser­vices de Work­sec­tion s’é­tend sur plusieurs cen­tres de don­nées dans dif­férents pays de l’UE et en Ukraine.

Work­sec­tion sauve­g­arde les don­nées client en temps réel. Les sauve­g­ardes sont con­servées de manière redon­dante dans plusieurs cen­tres de don­nées et sont chiffrées en tran­sit et au repos avec des chiffres con­formes aux normes de l’in­dus­trie avec une force de chiffre­ment équiv­a­lente à 256 bits symétriques.

Work­sec­tion main­tient un pro­gramme de sécu­rité basé sur les normes ISO 27001. Cela com­prend des pro­tec­tions admin­is­tra­tives, organ­i­sa­tion­nelles, tech­niques et physiques conçues pour pro­téger la con­fi­den­tial­ité, l’in­tégrité et la disponi­bil­ité des don­nées client. Work­sec­tion effectue des tests de péné­tra­tion par des tiers sur les appli­ca­tions et les réseaux chaque année.

Le per­son­nel de Work­sec­tion est tenu d’u­tilis­er des iden­ti­fi­ants et des secrets d’u­til­isa­teur uniques pour l’authentification.

Les don­nées client sont chiffrées avec un chiffre­ment TLS 1.2 ou ver­sion ultérieure lors de la trans­mis­sion entre le client et Work­sec­tion, ain­si qu’in­terne entre les sys­tèmes de Worksection.

Les don­nées client sont stock­ées de manière chiffrée à l’aide de chiffres symétriques indus­triels de 256 bits.

Work­sec­tion appliqué les normes de cycle de vie de développe­ment de logi­ciels sécurisés (Secure SDLC) pour effectuer de nom­breuses activ­ités liées à la sécu­rité pour les Ser­vices à tra­vers dif­férentes phas­es du cycle de vie de créa­tion de pro­duits, depuis la col­lecte des exi­gences et la con­cep­tion du pro­duit jusqu’au déploiement du pro­duit. Ces activ­ités com­pren­nent, sans s’y lim­iter, la réal­i­sa­tion de (a) revues de sécu­rité internes avant le déploiement de nou­veaux ser­vices; (b) tests de péné­tra­tion annuels par des tiers indépen­dants; et © mod­èles de men­ace pour de nou­veaux ser­vices afin de détecter d’éventuels prob­lèmes de sécurité.